전체 글 219
6주차 과제

혼공 8기로 마지막이네요 ㅎㅎ 많은 것을 배워왔지만...유독 습득이 늦은 챕터입니다.. "포인터" 악마입니다. 우리가 포인터를 배우기 전에 잠깐 지금가지 배운것을 정리를 해보면 변수 선언으로 메모리에 공간을 확보하고, 그곳을 데이터를 넣고 꺼내쓰는 공간으로 사용했습니다. 변수명은 확보된 메모리 공간을 식별할 수 있는 이름이였습니다. 그러나 변수는 블록, 함수 내부로 사용이 제한되어 있었습니다. 같은 변수명을 사용했다 하더라도 블록이나 함수가 다르면 "별도의 저장곤간을 확보" 하므로 전혀 다른 변수로 사용되는 것이죠...그래서 사용 범위를 벗어난 경우도 데이터를 공유할 수 있는 새로운 방법인 "포인터"의 개념에 배워보도록 하겠습니다. 메모리 주소 메모리라는 것은 우리가 데이터를 넣고 꺼내 쓰는 공간으로, ..
Forensic/혼공C 챌린지 2022.08.16

[디스크 복구] GoldenEye 랜섬웨어 MBR 복구

*본 내용은 공부를 목적으로 만들어진 내용입니다. 악용 시 법적인 책임을 물 수 있습니다. 앞 시간에 Petya 랜섬웨어를 복구 하는 방법을 배웠었습니다. 이번 시간에는 Petya 랜섬웨어의 변형된 형태인 GoldenEye 랜섬웨어를 복구하는 방법을 배워보겠습니다. http://m.boannews.com/html/detail.html?idx=52668 보안뉴스를 보게 되면 GolednEye 랜섬웨어에 대한 내용들이 자세히 설명되어 있으니 참고 해주시길 바랍니다. 사실 Petya 랜섬웨어랑 별반 다를거 없은 GoldenEye 랜섬웨어는 XOR 연산으로 0x07 변형이 되었고, 감염시키는 오프셋이 0x7202가 아니라 0x4602 입니다. 그래서 앞서 배웠던 Petya 랜섬웨어 복구하는 것이랑 똑같이 하시면..
Forensic/포렌식 공부 2022.08.14

[디스크 복구] PeTya 랜섬웨어 감염 MBR 복구

*본 내용은 공부를 목적으로 작성하는 글임을 알려드립니다. 이번에 다뤄볼 내용은 2017년 한국 정보통신 학회에서 투고된 "랜섬웨어 Petya에 대한 분석과 대응방안" 이라는 논문이다. 원문은 다음 링크를 타고 들어가시면 확인할 수 있다. https://scienceon.kisti.re.kr/srch/selectPORSrchArticle.do?cn=NPAP12899226 ABSTRACT 랜섬웨어는 주로 정부 기관과 금융기관, 기업 등을 대상으로 파일 또는 디스크 부팅 영역(BR)을 암호화하여 금전적인 피해뿐 아니라 개인정보 탈취 등의 보안 이슈를 초래해 왔다. 본 논문에서는 NTFS 파일 시스템 및 랜섬웨어 Petya에 대해 설명하고 포렌식 기법을 적용하여 MBR 영역 복구에 대한 방법을 다뤄본다. 1...
Forensic/포렌식 공부 2022.08.13

5주차 과제

배열 배열이라는 개념을 접하기 전에 지금까지 우리는 메모리에 저장 공간을 만들기 위해 변수라는 것을 사용했습니다. 예를 들어 사과 10개를 담기 위해 AppleBox라는 변수명으로 변수를 하나 만들어 줬습니다. 하지만 또 다른 예로 5과목의 점수를 처리하고 싶을 때는 kor, eng, math, sci, social 등 하나씩 다 변수를 지정해줬습니다. 이렇게 하나씩 변수를 선언하면 점수도 일일이 하나씩 넣어줘야 하는 번거로움이 있기 때문에 우리는 배열이라는 개념을 알고 있어야 합니다. 쉽게, 배열은 같은 형태의 많은 데이터를 반복하여 처리하기 위해서 메모리에 "연속적"으로 저장해놓고 쪼개서 사용하는 방법이라고 생각을 하시면 됩니다. 잘 이해가 안가시겠지만 예제로 보겠습니다. %p 서식 지정자에 대해서는..
Forensic/혼공C 챌린지 2022.08.12

[디스크 복구] MBR과 BR영역이 모두 손상된 파티션 복구

*지금부터 작성을 하는 공부들은 악용을 할 시 법적인 책임을 질 수 있으니 공부 용도로만 쓰길 바랍니다. 이번에 배울 것은 MBR영역과 VBR(Volume Boot Record), 파티션 시작 위치(BR)을 모두 특정 데이터로 덮어씌워 부팅이 불가능하도록 한 악성코드에 감염되었을 때 복구 하는 방법입니다. 복구를 진행하는 단계를 살펴보겠습니다. 1. MBR, VBR의 위치 확인 2. MBR, VBR 복구 3. 복구된 MBR과 VBR을 원래의 위치로 복사 실습파일인 vmdk를 가상머신으로 실행을 시키면 부팅이 정상적이지 않는 것을 볼 수 있습니다. 복구를 위해 vmdk를 hxd 에디터로 열어 보겠습니다. 근데 우리가 디스크를 보통 열어보면 MBR영역이 나와야 하는데 여기서는 vmdk의 예약영역이 자리 잡게..
Forensic/포렌식 공부 2022.08.11

[디스크 복구] NTFS 파티션 복구

저번 시간에 이어 NTFS도 바로 복구를 해보겠습니다. 마찬가지로, 악용을 하시면 법적인 책임을 물 수도 있으니 공부할 때만 사용하십시오. 배우기에 앞서 선행되어야 하는 내용은 다음과 같습니다. NTFS 구조 : https://lemonpoo22.tistory.com/202 MBR 구조 : https://lemonpoo22.tistory.com/23 실습할 내용은 다음과 같습니다. BR영역이 손상된 파티션 복구 알아야 할 내용 : 파티션 정보, LBA 시작주소, 파티션 총 섹터 수 먼저, 실습파일을 FTK로 열어보겠습니다. 파티션 1개가 보이고, Unrecognized로 보이는 것으로 보아 손상된 파티션임을 알 수 있었습니다. 그래서 FTK를 닫고, Hxd 에디터로 디스크 정보를 한번 보겠습니다. 영역 ..
Forensic/포렌식 공부 2022.08.09

[디스크 복구] FAT32 파티션 복구

*지금부터 작성을 하는 공부들은 악용을 할 시 법적인 책임을 질 수 있으니 공부 용도로만 쓰길 바랍니다. 배우기에 앞서, 사전 지식이 필요하여 2개를 보고 오시는 것을 추천드립니다. MBR 구조 : https://lemonpoo22.tistory.com/23 FAT32 구조 : https://lemonpoo22.tistory.com/84 우리가 Windows 시스템에서 가장 많이 사용하는 파일 시스템 포맷인 FAT32, NTFS 포맷의 파티션이 손상되었을 경우 복구하는지 배워볼 것 입니다. 우선 실습 파일은 따로 올리지 않겠지만, 복구하는 방법이 동일하기 때문에 혹시 직접 실습을 해보고 싶다면, 가상 디스크를 하나 만들어서 똑같이 영역을 손상시켜 공부해보는 것을 추천드립니다. 실습 시나리오는 다음과 같다..
Forensic/포렌식 공부 2022.08.09
1 2 3 4 5 6 ··· 22
더보기

티스토리툴바